Professional Documents
Culture Documents
Thiết kế, xây dựng hạ tầng truyền thông cho các đơn vị, tổ chức tạo điều kiện triển
khai các ứng dụng nghiệp vụ và các dịch vụ gia tăng của đơn vị, tổ chức đó.
Mục tiêu chung được thể hiện qua các điểm cụ thể sau:
• Xây dựng hạ tầng truyền thông thống nhất, tốc độ cao đồng bộ.
• Quản trị hệ thống tập trung.
• Phát triển các dịch vụ gia tăng trên mạng như Video conferencing, VoIP.
• Xây dựng hạ tầng cơ sở đảm bảo môi trường tiêu chuẩn cho trung tâm dữ
liệu.
• Xây dựng thiết kế mạng LAN, WAN cho các đơn vị, tổ chức.
• Xây dựng mạng trục WAN backbone.
• Xây dựng hệ thống an ninh mạng theo chiều sâu, nhiều lớp và sử dụng nhiều
công nghệ khác nhau.
• Xây dựng hệ thống quản trị cấu hình trang thiết bị và giám sát kênh truyền
thông.
• Xây dựng hạ tầng cơ sở trung tâm dữ liệu chính.
• Xây dựng thiết kế mạng cho trung tâm dữ liệu dự phòng.
• Xây dựng các dịch vụ mạng gia tăng như IP Telephony và Video
Conferencing
Trong phần này, chúng tôi xin giới thiệu sơ lược về một định hướng kiến trúc tiêu
biểu được áp dụng trong việc xây dựng hạ tầng Công nghệ Thông tin cho các tổ
chức và doanh nghiệp lớn. Đó là Định hướng Kiến trúc Dịch vụ (Service-Oriented
Architecture - SOA).
Đây là kiến trúc khung (architectural framework) mang tính định hướng sự phát triển,
mở rộng có mục đích đối với các hệ thống mạng lớn và là một cuộc cách mạng trong
nhận thức về nền tảng mạng truyền thông hướng tới môi trường mạng thông tin
thông minh (Intelligent information network) giúp cho việc tăng nhanh các khả năng
ứng dụng, dịch vụ, mở rộng tiến trình kinh doanh và tất nhiên, kèm theo đó là lợi
nhuận.
Service-Oriented Architecture:
Kiến trúc SOA gồm có 3 lớp:
Trong phần này, chúng tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng
và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của
các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở
hạ tầng mạng.
Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành một kiến trúc phổ
biến trong gần chục năm gần đây, được áp dụng để thiết kế các hệ thống mạng với
qui mô trung bình cho đến qui mô lớn. Phương thức thiết kế này sử dụng các lớp
(layer) để đơn giản hóa các công việc trong thiết kế mạng. Mỗi lớp có thể tập trung
vào các chức năng cụ thể, cho phép người thiết kế lựa chọn đúng các hệ thống và
các tính năng cho mỗi lớp.
• Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất
• Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt động kết
nối
• Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng
Phương thức thiết kế theo mô đun (Modular) được xem như là phương thức bổ xung
cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói
chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt động và chức năng khác
nhau. Việc thiết kế theo mô đun cho một hạ tầng mạng lớn bằng việc tách biệt các
vùng mạng với chức năng khác nhau, cũng đang là một phương pháp thiết kế được
sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và
các tổ chức lớn (gọi tắt là Enterprise).
Phương thức thiết kế Modular có thể được chia làm ba vùng chính, mỗi vùng được
tạo bởi các mô đun mạng nhỏ hơn:
• Enterprise campus: Bao gồm các module được yêu cầu để xây dựng một
mạng campus đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
• Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại phía rìa
mạng của Enterprise. Vùng chức năng này sẽ lọc lưu thông từ các module
trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus.
Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền
thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên
ngoài, các đối tác, mobile users, và mạng Internet.
• Service provider edge: Các module trong vùng này được triển khai bởi các
nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong
Service provider edge cho phép truyền thông với các mạng khác sử dụng các
công nghệ WAN và các ISPs khác nhau.
Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh
cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được
xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ
các cuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp.
SAFE đem lại sự linh hoạt và khả năng mở rộng cao bao gồm khả năng dự phòng
vật lý và cấu hình thiết bị khi có sự cố hay bị kẻ xấu tấn công vào hệ thống mạng.
Khái niệm Module được sử dụng trong SAFE giúp cho việc tổ chức hệ thống an ninh
được chặt chẽ và cho phép công việc thiết kế triển khai hệ thống an ninh mạng một
cách linh hoạt theo từng Module một (Module by Module), trong khi vẫn đảm bảo
được yêu cầu theo chính sách an ninh đặt ra cho từng giai đoạn.
Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống
và cũng được chia theo 3 lớp là Core, Distribution và Access Layer. Tuy nhiên ở lớp
Access thì Campus Module được phân làm 3 Module bảo vệ gồm Building Module
(users), Management Module và Server Module. Với sự phân cấp bảo vệ trong
Campus Module giúp cho việc thiết lập hệ thống an ninh mạng được linh động và
độc lập giữa các Module, nhờ vậy công việc tổ chức và quản trị trở nên dễ dàng hơn
và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn
cho hệ thống mạng khi có sự cố xảy ra.
• WAN Module: WAN Module chỉ có một kết nối duy nhất đến các mạng khác
cách xa nhau về mặt địa lý thông qua các đường truyền thuê bao riêng. Các
khả năng có thể bảo vệ các cuộc tấn công vào WAN Module gồm:
o IP spoofing-IP spoofing có thể được ngăn chặn thông qua Layer 3
filtering
o Unauthorized access—Tránh các truy cập trái phép bằng việc giới hạn
và kiểm soát các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung
tâm thông qua Router
An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:
• Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo
chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi
tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn
khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó
bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi
và không thể ảnh hưởng sang các tầng hay lớp khác.
• Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công
nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào
đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng
các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc
phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến
hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều
hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng
nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng
vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ
"đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus...v.v
• Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng
nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC
18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140